Qu'est-ce que le NIST AI Risk Management Framework et comment structure-t-il la gouvernance de l'IA ?
Réponse courte
Le NIST AI Risk Management Framework (AI RMF 1.0) est un cadre volontaire et fondé sur le risque pour gouverner une IA digne de confiance tout au long de son cycle de vie. Son cœur est constitué de quatre fonctions : Govern (culture, politique, responsabilité — et elle traverse les autres), Map (contexte et identification des risques), Measure (évaluer et suivre les risques) et Manage (prioriser et répondre). Il définit aussi des caractéristiques de fiabilité — valide et fiable, sûr, sécurisé et résilient, responsable et transparent, explicable, respectueux de la vie privée et équitable. Il complète des listes techniques comme l'OWASP LLM Top 10 au niveau du programme.
Le NIST AI Risk Management Framework (AI RMF 1.0) est le cadre de gouvernance de l'IA le plus largement référencé. Il est volontaire et fondé sur le risque, conçu pour aider les organisations à construire et déployer une IA digne de confiance tout en gérant le risque sur l'ensemble du cycle de vie — conception, développement, déploiement et surveillance.
Les quatre fonctions centrales
- Govern. Le socle : culture, politiques, rôles, responsabilité et tolérance au risque. Contrairement aux autres, Govern est transversale — elle traverse Map, Measure et Manage plutôt que d'être une étape ponctuelle.
- Map. Établir le contexte et identifier les risques — usage prévu, parties prenantes, environnement de déploiement et ce qui pourrait mal tourner.
- Measure. Analyser, évaluer et suivre les risques identifiés à l'aide de méthodes quantitatives et qualitatives, y compris tests et évaluation.
- Manage. Prioriser et agir sur les risques — allouer des ressources, répondre, se rétablir et communiquer.
Caractéristiques de fiabilité
Le RMF cadre « l'IA digne de confiance » autour de caractéristiques telles que : valide et fiable, sûr, sécurisé et résilient, responsable et transparent, explicable et interprétable, respectueux de la vie privée, et équitable avec les biais nuisibles maîtrisés. Cela donne aux discussions sur le risque des dimensions concrètes.
Où il s'inscrit
L'AI RMF est de la gouvernance au niveau du programme, pas une checklist technique. Il se marie bien avec des ressources opérationnelles : utilisez l'OWASP LLM Top 10 et la modélisation des menaces pour les contrôles d'ingénierie, et l'AI RMF (ainsi que le Generative AI Profile) pour définir la politique, la responsabilité et la gestion des risques sur le cycle de vie autour d'eux.
Ce que recherchent les recruteurs
Savoir qu'il est volontaire et orienté cycle de vie, être capable de nommer les quatre fonctions et que Govern est transversale, se rappeler quelques caractéristiques de fiabilité, et le positionner comme une gouvernance qui complète les contrôles techniques plutôt que de les remplacer.
Questions de suivi probables
- Comment la fonction Govern se rapporte-t-elle aux trois autres ?
- Quelles sont quelques-unes des caractéristiques de fiabilité que définit le RMF ?
- Comment utiliseriez-vous l'AI RMF aux côtés de l'OWASP LLM Top 10 ?